https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

詐騙集團假冒Google搜尋廣告 竊取微軟廣告帳號

2025 / 02 / 03
編輯部
詐騙集團假冒Google搜尋廣告 竊取微軟廣告帳號
資安研究人員發現一個惡意廣告活動正在鎖定微軟廣告客戶,透過假冒的 Google 廣告將受害者導向釣魚網站,藉此竊取帳號密碼。

這些惡意廣告出現在 Google 搜尋結果中,專門竊取使用者登入微軟廣告平台時的帳號資訊。此發現緊接在資安公司幾週前揭露的另一起類似攻擊活動之後,該活動也是利用 Google 廣告鎖定個人及企業用戶。

在這波最新的攻擊中,駭客鎖定搜尋「Microsoft Ads」等關鍵字的用戶,誘使他們點擊搜尋結果中的惡意贊助廣告。攻擊者採用多種技術來規避資安工具的偵測,包括將 VPN 流量重新導向至虛假的行銷網站,並運用 Cloudflare 驗證機制來過濾機器人。

此外,當使用者直接訪問釣魚網站("ads.mcrosoftt[.]com")時,系統會將其重新導向至知名迷因「Rickroll」的 YouTube 影片。這個釣魚網頁巧妙仿冒了正版微軟廣告平台("ads.microsoft[.]com"),目的是竊取受害者的登入憑證和雙重驗證(2FA)代碼來劫持帳號。

資安公司進一步指出,這個針對微軟帳號的釣魚攻擊基礎設施已運作多年,不僅顯示其為長期性的攻擊活動,更可能曾將目標擴及 Meta 等其他廣告平台。

值得注意的是,這些釣魚網域多半架設在巴西或使用巴西的頂級域名「.com.br」。這個特徵與先前針對 Google 廣告用戶的攻擊活動類似,該活動主要使用葡萄牙的「.pt」頂級域名。

Google 表示已採取行動禁止此類意圖竊取資訊的欺騙性廣告,並積極執行防制措施。該公司發言人向媒體強調,他們明確禁止任何意圖欺騙用戶的廣告,一旦發現廣告主有此行為,就會立即停用其帳號,此次事件即是依循此原則處理。

假冒美國郵政服務的簡訊詐騙攻擊

此外,資安研究人員發現新一波的簡訊釣魚活動(簡訊詐騙),透過假冒美國郵政服務(USPS)的包裹派送失敗通知來鎖定手機用戶。研究員指出,這個攻擊活動運用複雜的社交工程手法,並採用混淆技術來傳送惡意 PDF 檔案,目的是竊取用戶的帳號密碼和敏感資料。

這些詐騙簡訊會誘使收件人點開附帶的 PDF 檔案,聲稱需要更新地址才能完成包裹派送。PDF 文件中設有「點擊更新」按鈕,點擊後會將受害者導向至仿冒 USPS 的釣魚網站,要求輸入郵寄地址、電子郵件和電話號碼。

這些釣魚網站以收取重新派送服務費為藉口,竊取受害者的信用卡資料。受害者輸入的所有資料都會經加密後傳送至攻擊者控制的遠端伺服器。研究人員發現此攻擊活動使用了多達 20 個惡意 PDF 檔案和 630 個釣魚網頁,顯示該攻擊行動規模相當龐大。

資安研究員指出,這次攻擊中的 PDF 檔案使用了非標準方式來嵌入可點擊連結,捨棄一般常見的 /URI 標籤。這種做法使資安軟體難以提取和分析其中的網址,讓惡意連結得以躲過大多數端點防護系統的偵測。

這類攻擊顯示,駭客正透過社交工程手法,利用行動裝置的資安弱點,並假冒知名品牌與官方通知來贏取用戶信任。

類似的 USPS 詐騙簡訊也曾透過 Apple iMessage 傳送釣魚網頁,這種手法據報是由一個名為Smishing Triad 的中文駭客組織所採用。

這些詐騙簡訊能巧妙繞過 iMessage 的安全機制。一般來說,iMessage 僅允許來自已知寄件者或使用者曾回覆過的帳號所發送的連結被點擊。為了規避此機制,詐騙者會在訊息中加入「請回覆 Y」或「請回覆 1」等指示,誘使用戶回應,藉此關閉 iMessage 內建的防釣魚保護。

這類攻擊手法與 Darcula 釣魚即服務(PhaaS)工具有密切關聯。該工具已被用來攻擊全球超過 100 個國家的郵政服務和其他知名組織,其中包括美國郵政。

本文轉載自 TheHackerNews。